Popularna platforma za razmjenu kriptovaluta Coinbase otkrila je da je doživjela kibernetički napad koji je bio usmjeren na njene zaposlene.
Kompanija je saopštila da su njene “kibernetičke kontrole spriječile napadača da dobije direktan pristup sistemu i spriječile bilo kakav gubitak sredstava ili kompromitovanje podataka o klijentima.”
Incident, koji se dogodio 5. februara 2023. godine, rezultovao je izlaganjem “ograničene količine podataka” iz njegovog imenika, uključujući imena zaposlenih, email adrese i neke brojeve telefona.
Kao dio napada, nekoliko zaposlenih je bilo meta u SMS kampanji za krađu identiteta koja ih je pozvala da se prijave na račune svoje kompanije kako bi pročitali važnu poruku.
Navodi se da je jedan zaposleni “pao” na prevaru, te je unio svoje korisničko ime i lozinku na lažnu stranicu za prijavu koju su postavili hakeri kako bi prikupili kredencijale.
“Nakon ‘logovanja’ zaposleni se podstiče da zanemari poruku i zahvaljuje se što se povinovao” rekli su iz kompanije. “Sljedeće što se dogodilo je da je napadač u više navrata pokušavao da dobije daljinski pristup Coinbase-u.”
Ovi pokušaji prijavljivanja na sisteme koristeći “uhvaćene” kredencijale pokazali su se neuspješnim zbog višefaktorske zaštite autentifikacije koja je bila omogućena na nalogu.
Neustrašiv, haker je nazvao zaposlenog tvrdeći da je iz Coinbase korporativnog tima za informatičku tehnologiju (IT) i uputio pojedincu da se prijavi na svoju radnu stanicu i slijedi niz instrukcija.
“To je započelo konverzaciju između napadača i sve sumnjičavijeg zaposlenog” objasnio je Coinbase. “Kako je razgovor odmicao, zahtjevi su postajali sve sumnjiviji.”
Kompanija je saopštila da je upozorena u prvih 10 minuta od napada i da su njeni službenici za odgovor na incident došli do žrtve da se raspitaju o sumnjivoj aktivnosti sa njihovog naloga, što je navelo osobu da prekine svu komunikaciju sa protivnikom.
Coinbase nije elaborisao tačne upute koje je haker dao zaposleniku, ali je pozvao druge kompanije da budu u potrazi za potencijalnim pokušajima instaliranja softvera za rad na daljinu kao što su AnyDesk ili ISL Online, kao i legitimno proširenje za Google Chrome pod nazivom EditThisCookie.
Takođe je upozorio na dolazne telefonske pozive i tekstualne poruke od određenih provajdera kao što su Google Voice, Skype, Vonage/Nexmo i Bandwidth.
Coinbase je dalje napomenuo da je napad vjerovatno povezan sa sofistikovanom phishing kampanjom poznatom kao 0ktapus (aka Scatter Swine) koja je ciljala preko 130 kompanija, uključujući Twilio, Cloudflare, MailChimp i Signal.
Izvor: The Hacker News